DVWA渗透测试环境搭建

DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程

因为工作需要,最近在学习web安全测试方面的知识,感觉“很难!”、“很专业!”,有点无从下手的感觉,最后决定还是先从web安全测试相关的概念入手,再根据每种类型的漏洞模拟演练一下。网上一番冲浪后,发现了十大渗透测试演练系统:http://www.freebuf.com/sectool/4708.html。嗯,我选择了安装第一个DVWA。

下面是安装DVWA测试环境的步骤

1.准备

centos虚拟机、linux版本xampp安装包、DVWA安装包(文末有百度云盘链接)

2.安装xampp

XAMPP 是一个易于安装且包含 MySQL、PHP 和 Perl 的 Apache 发行版,而DVWA也是由php编写的,所以先安装xampp,然后把dvwa部署在里面

(1)选定一个路径,把下载好的xampp-linux-x64-7.2.7-0-installer.run放到指定文件夹

[root@localhost xampp]# ls
xampp-linux-x64-7.2.7-0-installer.run

(2)赋予该文件可执行权限

[root@localhost xampp]# chmod 777 xampp-linux-x64-7.2.7-0-installer.run

(3)执行该文件进行安装

[root@localhost xampp]# ./xampp-linux-x64-7.2.7-0-installer.run

安装过程一直选择“y”即可

根据提示,XAMPP最终安装到了 /opt/lampp

(4)启动xampp服务

[root@localhost lampp]# /opt/lampp/lampp start

在浏览器访问:http://192.XXX.XXX.XXX,出现如下页面,表示安装成功

3.安装DVWA

 (1)把下载好的 DVWA-master.zip 放到 /opt/lampp/htdocs中,然后解压

[root@localhost htdocs]# unzip DVWA-master.zip
[root@localhost htdocs]# mv DVWA-master DVWA # 重命名文件夹为DVWA

(2)在重启xampp服务前,需要修改一下DVWA中的配置文件

进入路径:/opt/lampp/htdocs/DVWA/config,可以看到一个文件:config.inc.php.dist,把它重命名为config.inc.php,或者复制一份并将复制得到的文件命名为config.inc.php

[root@localhost config]# mv config.inc.php.dist config.inc.php   # 直接修改文件名字
[root@localhost config]# cp config.inc.php.dist config.inc.php   # 复制一份(建议用这种方式,保留原文件)

打开文件修改下数据库连接信息

 

完成上述步骤后,重启xampp服务

[root@localhost config]# /opt/lampp/lampp restart

4.访问DVWA

在浏览器输入链接:http://192.168.XXX.XXX/DVWA

账号密码可以用:admin  password

 或者到数据库查询一下

[root@localhost bin]# pwd
/opt/lampp/bin     # 切换到lampp的bin目录
[root@localhost bin]# ./mysql  # 连接mysql
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 6
Server version: 10.1.34-MariaDB Source distribution

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> use dvwa;  # 切换至dvwa数据库(它是dvwa使用的数据库)
Database changed
MariaDB [dvwa]> show tables;
+----------------+
| Tables_in_dvwa |
+----------------+
| guestbook      |
| users          |
+----------------+
2 rows in set (0.00 sec)

MariaDB [dvwa]> select *from users;
+---------+------------+-----------+---------+----------------------------------+-----------------------------+---------------------+--------------+
| user_id | first_name | last_name | user    | password                         | avatar                      | last_login          | failed_login |
+---------+------------+-----------+---------+----------------------------------+-----------------------------+---------------------+--------------+
|       1 | admin      | admin     | admin   | 5f4dcc3b5aa765d61d8327deb882cf99 | /hackable/users/admin.jpg   | 2018-07-19 00:10:21 |            0 |
|       2 | Gordon     | Brown     | gordonb | e99a18c428cb38d5f260853678922e03 | /hackable/users/gordonb.jpg | 2018-07-18 22:33:09 |            0 |
|       3 | Hack       | Me        | 1337    | 8d3533d75ae2c3966d7e0d4fcc69216b | /hackable/users/1337.jpg    | 2018-07-18 22:33:09 |            0 |
|       4 | Pablo      | Picasso   | pablo   | 0d107d09f5bbe40cade3de5c71e9e9b7 | /hackable/users/pablo.jpg   | 2018-07-18 22:33:09 |            0 |
|       5 | Bob        | Smith     | smithy  | 5f4dcc3b5aa765d61d8327deb882cf99 | /hackable/users/smithy.jpg  | 2018-07-18 22:33:09 |            0 |
+---------+------------+-----------+---------+----------------------------------+-----------------------------+---------------------+--------------+
5 rows in set (0.01 sec)

MariaDB [dvwa]> 

密码是用md5加密的,可以在网上解密一下(百度md5解密)

登录dvwa,查看一下

 


XAMPP安装包:链接:https://pan.baidu.com/s/1pOG29KCR83GG_8LukE9dbA 密码:edgf

DVWA安装包:链接:https://pan.baidu.com/s/1NJD3CPKOb5lAHoRFIgYUCw 密码:lkqs

 

posted @ 2018-07-19 17:05  我是冰霜  阅读(3092)  评论(4编辑  收藏  举报